مؤسس تشارلز لتكنولوجيا المعلومات ، فوستر تشارلز ، يتحدث CMMC 2.0 وسط DoD Rulemaking

تسعة من أصل 13 شركة تأمين نتعقبها لن تكتب بوليصة إلا إذا كان لديك MFA. نفس الشيء مع CMMC 2.0 - ولن يتم قبول خطة العمل والمعالم (POA & M) إذا لم يكن لديك الأساسيات مثل MFA ، ومكافحة الفيروسات ، والتدريب على الوعي الأمني. - فوستر تشارلز ، المؤسس والرئيس التنفيذي لشركة Charles IT

MIDDLETOWN ، كونيتيكت (PRWEB) 27 آذار، 2023

أعلنت وزارة الدفاع (DoD) عن شهادة نموذج نضج الأمن السيبراني الجديد ، سي إم إم سي 2.0، في نوفمبر 2021. جاء التغيير بعد أن تقرر أن نموذج CMMC 1.0 الأصلي كان مرهقًا للغاية ومربكًا للمقاولين. ومع ذلك ، يظل القصد كما هو: التأكد من أن مقاولي قاعدة الدفاع الصناعية (DIB) لديهم التدابير والإجراءات المناسبة لحماية المعلومات الحساسة ، بما في ذلك المعلومات غير السرية الخاضعة للرقابة (CUI) ومعلومات العقود الفيدرالية (FCI).

المهم أن نفهم أن CMMC 2.0 ليس في الواقع شيئًا جديدًا. تعتمد المتطلبات على المعهد الوطني للمعايير والتكنولوجيا (NIST) SP 800-171 وهي متوافقة بشكل مباشر مع ملحق لائحة اقتناء الدفاع الفيدرالية (DFARS) ، والذي كان مطلوبًا لبعض الوقت الآن.

ما يهم هو مدى صرامة تطبيقك لأفضل الممارسات لأمن تكنولوجيا المعلومات ، حيث سيتم تطبيق اللوائح الجديدة بحزم في عام 2023. لتحقيق النجاح ، يجب على المقاولين تغيير نهجهم في الامتثال أو المخاطرة بخسارة العقود المربحة أو تكبد غرامات باهظة.

تغييرات عالية المستوى في CMMC 2.0

يهدف CMMC 1.0 إلى تجميع متطلبات الأمان المختلفة في معيار امتثال واحد للحكومة الفيدرالية. بينما كانت النية جيدة ، كانت القواعد معقدة للغاية. يعد CMMC 2.0 بمثابة تبسيط لـ CMMC 1.0 - مما يسهل على مقاولي بنك دبي الإسلامي تحقيق الامتثال من أجل تحسين أمن الدفاع الفيدرالي.

يتطلب المستوى الأول تقييمًا ذاتيًا لأفضل 17 ممارسة مشابهة لإطار عمل الأمن السيبراني الخاص بالمعهد الوطني للمعايير والتكنولوجيا (CSF). يتوافق المستوى الثاني مع NIST SP 800-171 ويتطلب شهادة من منظمة تقييم الطرف الثالث CMMC (C3PAO). أخيرًا ، يجب على مقاولي بنك دبي الإسلامي الذين يتعاملون مع المعلومات السرية للغاية تحقيق مستوى الامتثال الثالث بناءً على NIST 800-172.

يزيل CMMC 2.0 المتطلبات غير المدرجة في NIST SP 800-171 لجعل تحقيق وفرض الامتثال أكثر عملية. ويغطي أيضًا المقاولين من الباطن لدى بنك دبي الإسلامي لضمان الأمن عبر سلسلة التوريد بأكملها حيث يستهدف المزيد من الجهات الفاعلة الخبيثة الشركات الأصغر التي تتعاقد مع عمالقة الصناعة (على سبيل المثال ، شركة لوكهيد مارتن). "قد يحصل المتسللون على قطعة واحدة فقط من CUI من مورد واحد. ولكن إذا قاموا بتجميع مجموعة منهم معًا ، فيمكنهم الحصول على صورة كاملة إلى حد ما - هذه هي الطريقة التي يتم بها تسريب الأسرار. يقول تشارلز: "إن CMMC 2.0 يتعلق بتأمين أسرار الدولة".

الحرب السيبرانية هي آخر الشواغل ولأسباب وجيهة. على سبيل المثال ، يمكن للجهات الفاعلة في التهديد شن هجوم إلكتروني على البنية التحتية (على سبيل المثال ، هجوم خط الأنابيب الاستعماري) ، ثم الاستفادة من فترة التوقف الطويلة لشن هجوم مادي أكثر تدميراً - والذي يمكن أن يوقف الأمة بأكملها.

ما هي الخلاصة الرئيسية لهذه التغييرات ، وما الذي تحتاج إلى معرفته عند تحديث عملياتك؟

الهدف الرئيسي لـ CMMC 2.0 هو تحقيق الوضوح وإزالة التعقيد. على سبيل المثال ، يتطلب شهادة جهة خارجية كل ثلاث سنوات (بدلاً من التقييم السنوي) للامتثال للمستويين الثاني والثالث.

علاوة على ذلك ، فإن الإجراءات أسهل في الفهم ، لذا يمكن أن يكون تركيزك على تحديث وضعك الأمني.

كيف يفيد CMMC 2.0 مقاولي بنك دبي الإسلامي

يتيح CMMC 2.0 حماية أفضل لـ CUI لمنع تسرب البيانات والتجسس. إنه يعزز الأمن القومي ويساعد على الحماية من سلسلة التوريد أو الهجمات التي ترعاها الدولة. ومع ذلك ، افهم أنه يفيد أيضًا مقاولي بنك دبي الإسلامي في عملياتهم: “صناعة التصنيع متأخرة جدًا في تكنولوجيا المعلومات والأمن. لا تزال الشركات تدير العديد من العمليات يدويًا ، وهو أمر غير آمن للغاية. غالبًا ما تؤدي النظافة السيئة لأمن تكنولوجيا المعلومات إلى برامج فدية باهظة الثمن وهجمات أخرى. يجبر CMMC 2.0 هؤلاء المتعاقدين على تأسيس عادات عمل جيدة تكون في النهاية جيدة لمنظماتهم ، "يقول تشارلز.

قد يكون التفكير في تنظيم آخر مخيفًا. والخبر السار هو أن نصف CMMC 2.0 موجود بالفعل في NIST SP 800-171 - يوضح بالتفصيل ممارسات الأمن السيبراني التي يجب على مقاولي بنك دبي الإسلامي اتباعها بالفعل ، على سبيل المثال ، استخدام برنامج مكافحة الفيروسات ، وتنفيذ المصادقة متعددة العوامل (MFA) ، ورسم الخرائط ووضع العلامات على جميع CUI .

بشكل حاسم ، لا تستطيع الشركات حتى الحصول على تغطية تأمينية للأمن السيبراني دون تنفيذ العديد من التدابير الموضحة في CMMC 2.0. "تسعة من أصل 13 شركة تأمين نتعقبها لن تكتب بوليصة إلا إذا كان لديك MFA. نفس الشيء مع CMMC 2.0 - ولن يتم قبول خطة العمل والمعالم (POA & M) إذا لم يكن لديك الأساسيات مثل MFA ، ومكافحة الفيروسات ، والتدريب على الوعي الأمني ​​، كما يقول تشارلز.

يعد CMMC 2.0 خطوة ضرورية للأمام بالنسبة لقطاع الدفاع بأكمله للحصول على السرعة من منظور التكنولوجيا.

لماذا تغيير النهج الخاص بك هو المفتاح

كما ذكرنا ، فإن المفهوم الخاطئ الأكثر شيوعًا حول CMMC 2.0 هو أنه معيار امتثال جديد بينما ، في الواقع ، ليس كذلك.

المفهوم الخاطئ الآخر الجوهري هو أن العديد من المقاولين يفترضون أنه يمكنهم الانتظار حتى تتم الموافقة على حكم CMMC 2.0 قبل اتخاذ أي إجراء. يقلل العديد من المتعاقدين من مقدار الوقت الذي سيستغرقه تقييم وضعهم الأمني ​​، وتنفيذ إجراءات الإصلاح ، والحصول على تقييم الطرف الثالث. يخطئ البعض أيضًا في الحكم على مدى دعم أنظمتهم وعملياتهم من الناحية الفنية والاستثمار المطلوب لتحقيق الامتثال. من الضروري أيضًا أن تتذكر أن تلبية هذه المعايير يتطلب التنسيق مع البائعين ، الأمر الذي قد يستغرق وقتًا لإكماله. "يتجاهل العديد من المقاولين مدى تعقيد سلاسل التوريد الخاصة بهم وعدد البائعين الخارجيين الذين يستخدمونهم. على سبيل المثال ، قد تكتشف أن بعض الموردين ما زالوا يستخدمون Windows 7 ويرفضون الترقية. لذلك قد تجد نفسك في مأزق إذا كان البائعون لديك غير متوافقين ، وعليك أن تنتظرهم حتى يطوروا تقنيتهم ​​"، كما يقول تشارلز.

يشير تشارلز أيضًا إلى وجود مشكلات تتعلق بالامتثال السحابي. لا يدرك العديد من المقاولين أيضًا أنهم لا يستطيعون معالجة CUI على أي سحابة - يجب أن تكون منصتك على وسيط Fedramp أو سحابة Fedramp العالية. على سبيل المثال ، بدلاً من Office 365 ، يجب عليك استخدام Microsoft 365 Government Community Cloud High (GCC High).

كيفية التحضير لـ CMMC 2.0

ابدأ في التحضير في أقرب وقت ممكن إذا لم تكن قد فعلت بالفعل وتوقع أن تستغرق العملية عامًا أو عامين. من المحتمل أن يدخل CMMC 2.0 حيز التنفيذ في عام 2023 ، وبمجرد حدوثه ، سيظهر في جميع العقود في غضون 60 يومًا. لا يمكنك الانتظار حتى اللحظة الأخيرة.

بمعنى آخر ، سيستفيد المقاولون من الشعور بالإلحاح. "يمكن أن يكون تحقيق الامتثال دفعة واحدة صدمة كبيرة للمؤسسة وعملياتها التجارية اليومية. أوصي بإجراء تقييم وتصميم خارطة طريق متعددة السنوات. يجب أن تجيب هذه الخطة على أسئلة مثل: ما هي الأجهزة / الأجهزة التي تحتاج إلى استبدالها؟ أي من البائعين الخارجيين يحتاجون إلى ترقيات؟ هل لديهم خطط للقيام بذلك في السنوات الثلاث المقبلة؟ "

يعد تقديم خطة أمان النظام (SSP) أمرًا ضروريًا للامتثال CMMC 2.0. SSP هو أيضا وثيقة أساسية أن أ مزود الخدمة المدارة (MSP) يمكن استخدامها لمساعدة شركتك في الامتثال. تحدد ورقة النتائج متطلبات أمان CMMC وتساعدك في الحصول على نظرة عامة على الترقيات التي تحتاجها. يقول تشارلز: "أول شيء أسأله عادة هو ،" هل تعرف درجة SSP الخاصة بك؟ ". قد لا تكون الشركات الأخرى بعيدة. في هذه الحالة ، يمكن لـ Charles IT إجراء تقييم للفجوة أو المخاطر لعملائنا كخطوة أولى لكتابة SSP وخطة العمل والمعالم (POA & M). "نحن نسميها تقييم الفجوة. نحن بحاجة إلى معرفة عمق المياه ، وبعد ذلك سنحددها ونساعدهم في كتابة SSP ، "ينصح تشارلز.

إذا كان لديك وضع أمني ناضج نسبيًا واتبعت أحدث ممارسات الأمن السيبراني ، فإن تحقيق التوافق مع CMMC 2.0 يجب أن يستغرق حوالي ستة إلى تسعة أشهر. إذا لم يكن الأمر كذلك ، فيمكنك النظر إلى جدول زمني مدته 18 شهرًا. مرة أخرى ، لا تنتظر حتى يصبح العقد على الطاولة - ابدأ الآن لتجنب خسارة الأعمال.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• المصدر https://www.prweb.com/releases/2023/3/prweb19246469.htm